セキュリティの
学び場

今回の解説ニュース

Microsoft Teamsの設定ミスが原因で、個人情報が漏洩してしまったことについて発表されています。Teamsで個人情報が閲覧できるインシデントが発生する背景と、Teamsなどのメッセージングツールで、同様のインシデントを発生させないための対策について説明します。

今回のインシデントは、学校の生徒からMicrosoft Teamsで個人情報が閲覧できる状態であったことについて教育委員会に連絡があり、調査したところ氏名等の情報が他の学校で閲覧できる状態であったことが判明したというものです。

原因として、教職員専用のアカウントで取り扱うべき生徒の個人情報を教職員及び生徒共有のアカウントで取り扱ったことと、Teamsにおいて「プライベート」としなければならないチームの公開範囲を、「パブリック」としたことが挙げられています。再発防止策として、Teams事故再発防止委員会を設置し、実態に即した研修内容やチェックリストとなるよう学校の教職員の意見を踏まえた検討を行い、教員向けの周知資料や研修資料等を作成し、全教職員の理解を着実に進めるとともに、システムの設定変更等も含めた検討を行うということです。

個人情報を取り扱う上でアクセス権限の設定

Teamsで個人情報が閲覧できるインシデントが発生する背景として、利用者側の意識不足による、アクセス権限やシステム設定の不備などが考えられます。

一般的に、個人情報の取り扱いに関する社内ルールやセキュリティポリシーを理解していない、または遵守していない従業員がいる場合、インシデントが発生するリスクが高まります。Teamsの場合、利用者側の認識不足によって、アクセス権限やシステム設定の不備などが発生することが考えられます。

チームやチャンネルのアクセス権限が適切に設定されていない場合、本来閲覧を許可していないメンバーが個人情報を含むファイルやチャット内容にアクセスできてしまう可能性があります。今回のインシデントでも、教職員及び生徒共有のアカウントを使用していたことから、アクセス権限が適切に設定されていなかったことが考えられます。

また、システム設定に不備があると、認証なしでチームにアクセスできてしまう可能性があります。Teamsのゲストアクセスは、組織外のユーザーをチームに招待する機能です。ゲストユーザーは、認証なしでチームやチャンネルにアクセスし、メッセージの送受信やファイルの閲覧などを行うことができるので、共有する情報については注意が必要です。

一方で、今回のインシデントの原因でもある、チャンネルのパブリック設定は、チーム内のメンバーがどのチャンネルにアクセスできるかを制御する機能です。パブリックチャンネルはすべてのチームメンバーがアクセスでき、プライベートチャンネルはチャンネルメンバーのみアクセスすることができます。

セキュリティの観点で気を付けるべきポイント

TeamsだけでなくSlackなど、他のメッセージングツールでも同様のインシデントが発生する可能性があります。オンラインで情報共有ができるツールでは、同様のインシデントが発生しないよう、常に注意する必要があります。

メッセージングツールに今誰が参加しているか、今後誰が参加する可能性があるか、把握した上で利用してください。誰が参加しているか把握していないと、不要な相手とファイルを共有してしまったり、チャットの履歴から機密情報が漏洩してしまったりする可能性があります。今後誰が参加する可能性があるかも考慮して、チャンネルの目的に合ったコミュニケーションを取るようにしましょう。